在哪里配置 /var/log/audit 的权限？

Question

唯一可用于控制 auditd 日志权限的方法是文件log_group中的设置auditd.conf。当存在此设置时，所有日志输出将为组可读 (mask 0750)；当不存在此设置时，只有 root 可读 (mask )。正如您所注意到的，当 auditd 启动时，0700此模式也会应用于目录本身。/var/log/audit

此外，日志文件在轮转后总会删除写入位，并且不会再被写入。这些行为都是在auditd程序中硬编码的。

根据chmod您问题中的命令，我认为您应该能够通过注释掉该log_group行/etc/audit/auditd.conf并重新启动 auditd 来获得您想要的结果：

# systemctl restart auditd
# grep log_group /etc/audit/auditd.conf
#log_group = adm
# ls -ld /var/log/audit
drwx------ 3 root root 4096 Jan 31 19:52 /var/log/audit
# ls -l /var/log/audit
total 26280
-rw------- 1 root root 1674289 Jan 31 21:22 audit.log
-r-------- 1 root root 8388712 Jan 31 19:52 audit.log.1
-r-------- 1 root root 8388786 Jan 31 18:55 audit.log.2
-r-------- 1 root root 8388631 Jan 31 18:08 audit.log.3
drwx------ 2 root root   16384 Jan 26 11:27 lost+found

某些系统可能需要重新启动才能使此配置更改生效。

Answer 1

唯一可用于控制 auditd 日志权限的方法是文件log_group中的设置auditd.conf。当存在此设置时，所有日志输出将为组可读 (mask 0750)；当不存在此设置时，只有 root 可读 (mask )。正如您所注意到的，当 auditd 启动时，0700此模式也会应用于目录本身。/var/log/audit

此外，日志文件在轮转后总会删除写入位，并且不会再被写入。这些行为都是在auditd程序中硬编码的。

根据chmod您问题中的命令，我认为您应该能够通过注释掉该log_group行/etc/audit/auditd.conf并重新启动 auditd 来获得您想要的结果：

# systemctl restart auditd
# grep log_group /etc/audit/auditd.conf
#log_group = adm
# ls -ld /var/log/audit
drwx------ 3 root root 4096 Jan 31 19:52 /var/log/audit
# ls -l /var/log/audit
total 26280
-rw------- 1 root root 1674289 Jan 31 21:22 audit.log
-r-------- 1 root root 8388712 Jan 31 19:52 audit.log.1
-r-------- 1 root root 8388786 Jan 31 18:55 audit.log.2
-r-------- 1 root root 8388631 Jan 31 18:08 audit.log.3
drwx------ 2 root root   16384 Jan 26 11:27 lost+found

某些系统可能需要重新启动才能使此配置更改生效。

在哪里配置 /var/log/audit 的权限？

答案1

相关内容